簡介
信息技術監管是企業監管中的重要內容,主要監管信息技術以及對風險進行管理。信息技術監管常見機制包括:信息建設文庫(ITIL): 一套公開、用於規範技術服務管理的架構;CobiT: 一個國際開放型的信息技術目標控制及控制慣例標準;ISO/IEC 27001信息系統安全管理模式ISM3;以及AS8015-2005 澳洲企業監管 - 信息技術及通信。
在美國Enron事件後, 社會上開始注重審計和監管的工作。薩班斯-奧克斯利法案中強調審計和控制的重要性。由於信息系統亦涉及重要的數據,這亦促進了信息技術審核及信息技術監管。在薩班斯-奧克斯利法案第404節中亦影響了信息技術部門對信息技術策略的決定權,增加了對資源系統日常運作的監管控制及變更管理。
不過,信息技術監管亦有受到一些批評,例如過嚴格的監管會影響信息技術發展項目的進展,增加審計和開發的成本,影響軟體成本效益。
要求
一是建立政策和規程。要求各市場機構建立保障系統處理能力、可用性、安全性、完整性的政策和規程,其中必須包括建立合理處理能力測試、定期系統測試和復檢、業務連續性和災難恢復規劃、系統生命周期中的有關標準。
二是保障系統的合規性。各市場機構要建立、維護並實施書面工作準則與工作規程,以確保系統遵守適用的法規、規章制度以及有關的規範檔案的要求。
三是事件處理。當系統出現問題時,要採取妥善措施處理事件,包括採取糾正措施、報告監管機構、向成員及市場參與者傳播信息等。
四是通報系統重大變更。要求各市場機構至少提前向監管機構通報系統重大變更,以保證監管機構的工作人員能夠有效監控有關的技術開發。若有緊急情況,或先前通報的信息有重大錯誤,市場機構需要通過口頭或書面的形式告知監管機構,並在小時之內提交書面材料。
五是系統複審。要求各市場機構至少每年做一次系統複審,確認與相關規定相符。複審的內容包括系統的風險評估,內部控制的設計和有效性評估,邏輯及物理的安全控制、開發流程、信息技術管理、與行業標準的一致性等。此外,要求每三年至少進行一次生產系統的網路、防火牆、開發、測試等環節的滲透測試。在複審過程中,要求複審人員具有一定的獨立性。要求機構在每年的系統複審完成後的一段時間內向監管機構提交有關的報告。
六是業務持續性及災難恢複測試。要求至少每年做一次多方參與的業務持續性、災難恢復的測試,包括備份系統、相關人員、功能測試和性能測試,並要求與其他機構配合進行更大範圍或全行業的測試。
監管機制
信息技術基礎架構庫(Information Technology Infrastructure Library,一般情況下使用其縮寫ITIL,也譯為“資訊技術基礎建設館”)是用來管理信息技術的架構設計,研發和操作的一整套概念和思想。主要精神為和諧推動及持續改善,將服務對象視為客戶,強調End-to-End的服務。
ITIL最初是藉由一套書籍發布。這套書籍的每一本都涵蓋一個信息技術的領域。ITIL這個名稱和IT Infrastructure Library都是英國政府商務辦公室 (OGC)的註冊商標。藉由為不同的IT組織量身定製一些複雜的清單,任務,流程,ITIL為許多重要的IT時間準則給出了詳盡的解釋。
COBIT(全稱為:Control Objectives for Information & related Technology),中文譯為:信息及相關技術控制目標。它是一系列關於IT管理最佳實踐(框架)的集合,並由美國信息系統審計與控制協會(ISACA)和IT治理委員會於1992年創建。COBIT為管理人員、審計人員和IT用戶提供了一套通用的測量、顯示和處理的方法以及最佳的實踐,幫助其通過在公司中使用信息技術和適當的IT治理與控制,使公司的利益最大化。
信息技術審核(information technology audit, ITA)或信息系統審核(information system audit, ISA)是指檢查或驗查信息系統設施的控制。信息技術審核是檢查和評核機構內的信息系統的日常運作和慣例。評審會得出數據來檢核該系統是會匹配機構的要求,包括安全性、數據完整性、運作效率等。這些評核程式有時會跟財務審計和企業內部審計(Internal audit)有所關係之處。
信息技術審核在過去曾被稱為自動數據處理審核、電腦審核或電子數據處理審核。信息技術審核與財務審計並不相同。兩者雖然有些相似之處,但其目的和程式並不相同。財務審計主要目的是評核機構是否匹配會計守則,而信息技術審核主要目的是評核系統安全協定或系統效力,評核企業保護信息技術資產和分配給認可的一方的能力。信息技術審核可以歸為以下數個問題: